انتخاب فایروال مناسب برای شبکه

۱۳۹۷/۰۴/۰۲

یکی از مهمترین مسائل پشتیبانی شبکه‌های سازمانی، انتخاب فایروال (Firewall) مناسب می‌باشد. با وجود آنتی‌ویروس‌های که در شبکه‌ها مورد استفاده قرار می‌گیرد، فایروال‌ها یا دیواره‌های آتش هم از گزینه‌های بسیار مهم در برقراری امنیت کاربران در کنار آنتی‌ویروس‎ها، انجام دوره‌ای تست نفوذ سازمان و سایر موارد امنیتی می‌باشند. البته باید به این نکته توجه داشت که علاوه بر این‌که با توجه به نوع شبکه و کارایی آن، دقت در انتخاب فایروال مناسب بسیار مهم می‌باشد، حضور یک سوپرادمین که متصدی آن بوده و قوانین و سیاست‌های متناسب با شبکه نیز، از الزامات برقراری امنیت به وسیله فایروال‌ها می‌باشد.

فایروال چیست؟

به زبان ساده می‌توان گفت که فایروال سیستمی است که شبکه یا کامپیوتر شخصی شما را در مقابل نفوذ مهاجمین، دسترسی‌های غیرمجاز، ترافیک‌های مخرب و حملات هکرها محافظت می‌کند. پس فایروال مشابه یک محافظ بین شبکه داخلی و خارجی است که تمام ترافیک‌های رسیده از هر شبکه را با قوانین و سیاست‌های تنظیم‌شده در خودش کاملا مطابقت می‌دهد و با اعمال یک سری محدودیت‌های کنترلی این ترافیک را به صورت امن منتقل می‌کند.
قوانین و سیاست‌های فایروال بر اساس نیازها و موارد امنیتی همان سازمان یا شرکت انجام می‌شود و برای هر سازمان متفاوت است. مثلا ممکن است برای یک شبکه از روش فیلترینگ بسته (Packet Filtering) استفاده کند و برای شبکه‌ای دیگر از پروکسی سرور (Proxy Server)، یا (Stateful Inspection) یا (Application-layer Firewall) استفاده کند.

فیلترینگ بسته (Packet Filtering): در این روش محتوای بسته ارسالی یا دریافتی بررسی نمی‌شود و فقط طبق سریرگ‌ها و هدرهای بسته‌ها تصمیم‌گیری می‌شود وهمین امر باعث سرعت بالاتر آن‌ها می‌شود. همچنین خطایابی و ترتیب‌دهی و کنترل ترافیک را بر عهده دارد و فقط از لایه 1 تا لایه 4 مدل OSI را بررسی می‌کند.
پروکسی سرور (Proxy Server): در این روش عملیات بر روی یک سرور پراکسی انجام می‌شود و به جای ارسال درخواست به طور مستقیم به یک شبکه یا یک سرور، به یک سرور پراکسی فرستاده و در صورت نیاز پردازش بر روی آن انجام می‌شود و از آن‌جا بسته را به مقصد می‌رساند. یک پروکسی فایروال معمولا از دو کارت شبکه (NIC) استفاده می‌کند. یکی از این کارت‌های شبکه به شبکه خارجی متصل شده و دیگر کارت شبکه به شبکه داخلی متصل می‌شود. عملکرد پروکسی می‌تواند در دو سطح اپلیکیشن و سطح مدار اتفاق بیافتد.
Stateful Inspection: برای درک این واژه باید با مفهوم Stateless Firewall آشنا شوید. این مفهوم به این معناست که تصمیمات بر مبنای داده‌های ورودی مثل بسته‌های ورودی گرفته می‌شود و نه بر اساس هر نوع تصمیم‌های پیچیده‌ دیگری. از Stateful Inspection با نام دیگر Statefull Packet Filtering هم یاد می‌کنند. اکثر دیوایس های به کار رفته در شبکه، اطلاعات مربوط به داده‌های مسیریابی‌شده و استفاده‌شده در شبکه را بازرسی و ثبت نمی کنند. در نتیجه پس از عبور بسته در شبکه، بسته و مسیر آن فراموش می‌شود. در Stateful Inspetion با استفاده از جدولی که به منظور بازرسی داده‌ها استفاده می‌شود، رکوردهایی که در هر ارتباط به وجود می‌آید ثبت می‌شود. این امکان در تمام سطوح شبکه به وجود می‌آید و امنیت مضاعفی را به ویژه در پروتکل‌های بدون اتصال (Statless) مثل User Datagram و ICMP به وجود می‌آورد. این ویژگی باعث پیچیدگی کار شده و حمله‌های ناشی از Denial-of-Service را چالش‌برانگیز می‌کند، زیرا تکنیک‌های طغیان شبکه به منظور ایجاد بار اضافی بر روی جدول بازرسی و در نهایت دلیل خاموشی یا ریبوت شدن فایروال می‌شود.
Application-layer Firewall: کل بسته ارسالی یا دریافتی را بررسی می‌کند و فیلتر اصلی بر روی محتوای بسته‌ها اعمال می‌شود و همین امیر سبب کاهش سرعت می‌شود. این فایروال در تمامی لایه‌های مدل OSI کار می‌کند و به دلیل مکانیزم بررسی تمام محتوا بسیار امن‌تر و قابل اعتمادتر می‌باشد.

فایروال‌ها به دو صورت نرم‌افزاری و سخت‌افزاری در بازار عرضه می‌شوند ولی بهترین فایروال، فایروالی است که هر دو ویژگی را با هم داشته باشد.

نحوه انتخاب بهترین فایروال

قبل از انتخاب یک Firewall باید ابتدا شرایط و نیازهای سازمان را در نظر گرفت و یک سیستم مناسب جهت تامین امنیت آن سازمان را با در نظر گرفتن موارد زیر انتخاب کرد:

چه میزان هزینه برای خرید فایروال در نظر گرفته شده است
آیا فایروال در مقیاس کوچک و بزرگ استفاده می‌شود
وضعیت پشتیبانی فایروال در جهان و در ایران به چه صورت می‌باشد
آیا امکان به روزرسانی فایروال در ایران وجود دارد
آیا مدیریت فایروال به آسانی صورت می‌گیرد
سرویس و نیازهای شما از یک فایروال چیست
منابع و آموزش‌های در دسترسی برای فایروال وجود دارد
میزان آشنایی و توان نصب در راه‌اندازی فایروال مورد نظر تا چه اندازه وجود دارد

در نهایت پاسخ تمام این سوالات به انتظار شبکه شما از فایروال برمی‌گردد که کدام ویژگی فایروال‌ها برای شما مهمتر می‌باشد مثلا منوی آسان، سرعت زیاد، امنیت بالا، امنیت بالا، هزینه کمتر، پشتیبانی خوب، میزان آشنایی ادمین شما با فایروال و ...

فایروال‌های سخت‌افزاری: به این نوع فایروال، فایروال شبکه نیز گفته می‌شود که برای حفاظت چندین کامپیوتر مفید بوده و بدون نیاز به هیچ نرم‌افزار و سیستم‌عاملی می‌تواند ترافیک را بررسی و عمل حفاظت را به تعداد پورت‌هایش انجام دهد. پس یک فایروال سخت‌افزاری می‌تواند به صورت پیش‌فرض و بدون انجام هر گونه تنظیمات اولیه در حد مطلوبی از ورود داده‌ها و ترافیک ناخواسته به شبکه محافظت کرده و اطلاعات را ایمن نگه دارد. این نوع فایروال از روش فیلترینگ بسته یا (Packet Filtering) استفاده می‌کند. کار با این فایروال در شبکه بسیار ساده و آسان بوده، البته برخی تنظیمات پیشرفته در آن وجود دارد که باید افراد خبره آن‌را بررسی کنند. در کل باید قبل از قرار دادن فایروال در شبکه یک فرد متخصص آن‌را آزمایش کرده و از کارکرد آن اطمینان حاصل نماید. این نوع فایروال‌ها بار ترافیکی و لود کاری کمتر و سرعت و کارایی بهتری در شبکه دارد ولی هزینه آن نسبتا بالاست. نمونه‌های آن‌ها عبارتند از:

Juniper
Fortinet
Cyberoam

فایروال‌های نرم‌افزاری: همان‌طور که از نام آن‌ها برمی‌آید، یک سری نرم‌افزارهای امنیتی قدرتمند هستند که بر روی سیستم‌عامل یا شبکه را کنترل می‌نماید. این نوع فایروال بیشتر برای مصارف خانگی و شرکت‌ها و سازمان‌های کوچک به کار می‌رود و از خطرات معمولی موجود در اینترنت، حفاظت می‌کنند. همچنین در بحث اشتراک‌گذاری منابع با توجه به قوانین و مقررات یک سری محدودیت‌ها ایجاد می‌کنند. در ضمن این نوع فایروال‌‌ها دارای ابزارهای خاصی هستند که می‌توانید با کمک آن‌ها تنظیمات و فیلترینگ خاصی را برای کاربران اعمال کنید. این نرم‌افزارها در دو نوع شبکه‌ای و تک محصولی ارائه می‌شوند تنوع این نوع فایروال بسیار زیاد است اما در هنگام انتخاب آن باید به این نکته توجه داشت که بهترین آن‌ها علاوه بر فعالیت در پس‌زمینه سیستم باید از کمترین منابع موجود استفاده کرده و بار سیستم شبکه را کم نماید، هر چند که این نوع فایروال‌ها ترافیک و بار سیستم و شبکه را بالا می‌برند. مزیت اصلی این نوع فایروال‌ها هزینه نسبتا پایین آن‌هاست. نمونه‌هایی از آن‌ها عبارتند از: